UPDATE: op 14 juli 2020 werd Google Belgium veroordeeld tot een monsterboete van € 600.000!
Deze boete kregen ze voor het niet naleven van het recht om vergeten te worden van een burger. Dit is de eerste keer dat er in België zo een hoge boete werd uitgeschreven door de GBA met betrekking tot de GDPR. Lees er hier alles over.
Wat liep er dan verkeerd? In ’t kort gaat het hierom. De klager is een speelt een rol in het Belgische openbare leven. Deze persoon eiste dat Google Belgium de aan zijn naam gekoppelde zoekresultaten zou verwijderen over de mogelijke banden met een politieke partij. Daarnaast waren er ook zoekresultaten over een oude pesterijklacht die ongegrond werd verklaard. Omdat Google Belgium hier niet op inging, besliste de GBA het volgende.
In het algemeen belang mochten de zoekresultaten over de banden met een politieke partij worden behouden. De pagina’s over de pesterijklacht moesten wel worden weggehaald, aangezien ze niet gegrond waren en erg schadelijk zijn voor de reputatie van de klager. De GBA vond dat Google zeer nalatig was om geen gevolg te geven aan deze klacht. Het resultaat: een monsterboete van € 600.000. Ook opvallend is dat Google Belgium nu zijn aanvraagformulieren voor “het recht om vergeten te worden” moet aanpassen zodat het duidelijker is wie verantwoordelijk is voor dit soort gegevensverwerking.
Hoe zit het nu met de GDPR twee jaar later?
Het is ondertussen zo’n twee jaar geleden dat de Europese Commissie de komst van de GDPR aankondigde en er (bijna) een soort van massahysterie uitbrak onder de Belgische bedrijven. GDPR is geen eenvoudige materie en bedrijven hadden destijds lang niet allemaal de nodige expertise in huis om persoonlijke gegevens te verwerken conform deze nieuwe wetgeving. De opluchting was groot toen uiteindelijk bleek dat 25 mei 2018 eerder een deadline was voor een soort van gedoogbeleid. Bedrijven die konden aantonen dat ze stappen hadden ondernomen om de GDPR juist toe te passen, bleven voorlopig buiten schot van boetes, ook al waren er hier en daar nog wat werkpuntjes.
Afgelopen december werd er voor de eerste keer in België een bedrijf veroordeeld voor het niet correct toepassen van de GDPR.
Nu, twee jaar later is de GBA, de vroegere Privacycommissie, niet meer zo toegeeflijk voor bedrijven die inbreuken plegen op de GDPR. Afgelopen december werd er voor de eerste keer in België een bedrijf veroordeeld voor het niet correct toepassen van de GDPR omtrent de cookies op hun website. Jubel.be, een juridisch bedrijf nota bene, kreeg een boete van € 15.000. Dan heb je ook nog de kwestie van Google Belgium die we aan het begin van de tekst aanhaalden. Zij kregen een monsterboete van maar liefst € 600.000. Zulke boetes kunnen oplopen tot 4% van je jaarlijkse bedrijfsomzet met een maximum van 20 miljoen euro. Wil jij een boete vermijden? Stel jezelf dan eens de volgende vraag.
Is jouw bedrijf in staat om binnen de 30 dagen een sluitend en juridisch correct antwoord te formuleren wanneer er een klant informeert naar welke persoonsgegevens je van hem verwerkt en voor welke reden?
In principe is GDPR iets waarvan iedere werknemer in jouw bedrijf zich van bewust moet zijn. Iedereen komt dagelijks in aanraking met persoonsgegevens van collega’s, klanten, leveranciers … Wist je bijvoorbeeld dat het louter bezitten van persoonsgegevens ook al wordt gezien als gegevensverwerking? Zelfs wanneer je niets met deze gegevens doet. Bovendien mag je gegevens niet langer bijhouden dan noodzakelijk. Zelfs triviale dingen zoals visitekaartjes, cv’s en foto’s van een personeelsfeest vallen onder deze wetgeving. Maar het meest relevante voor jouw bedrijf is waarschijnlijk het juist toepassen van de GDPR omtrent cookies op je website.
Wie data goed beheert, is de koning van het internet.
Meer en meer websites proberen aan de cookiewetgeving te voldoen door een waarschuwing te plaatsen zoals op de afbeelding. Dit is echter niet voldoende. De cookiewetgeving schrijft voor dat je bezoekers de mogelijkheid moet geven om de niet-functionele cookies te accepteren of te weigeren. Expliciete toestemming verkrijg je pas als je een bezoeker doelbewust actie laat ondernemen. Dat kan door ze iets te laten aanvinken, ze op akkoord te laten klikken … Een melding zoals “Door deze site te gebruiken, accepteer je onze cookies.” volstaat niet. En ook pop-ups die al vooraf aangevinkt zijn, dekken de lading niet en zijn bovendien niet 100% legaal. Gebruik onze website gerust als voorbeeld voor hoe het wel moet.
Natuurlijk kan je er ook voor kiezen om enkel functionele cookies te gebruiken. Dan heb je geen expliciete toestemming nodig en is een simpele melding wel voldoende. Alleen … beperk je jezelf dan enorm. Niet-functionele cookies kunnen heel nuttig zijn. Neem nu Google Analytics, dat is een handige tool die je unieke marketing-inzichten verschaft over je bezoekers. Maar de cookies van Google Analytics zijn niet essentieel voor het functioneren van je website. Wie alleen maar functionele cookies op zijn website wilt, mag dus geen Google Analytics gebruiken.
De belangrijkste regeltjes:
GDPR is een ingewikkeld beestje, maar wanneer je deze vier punten in je achterhoofd houdt, komt het wel goed.
1. Transparantie
Als bedrijf moet je jouw klanten voldoende informeren over de manier waarop je data verzamelt en verwerkt. Doe dit steeds op een manier die voor iedereen verstaanbaar is.
2. Data-overdracht
Je mag niet zomaar gegevens opvragen. Beperkt je daarom tot de strikt noodzakelijke gegevens van een persoon en laat de rest achterwege. Je hebt immers geen telefoonnummer nodig om iemand een nieuwsbrief te sturen.
3. Het recht om vergeten te worden
Een persoon kan eisen dat zijn gegevens uit je databank worden gewist wanneer ze niet langer nodig zijn. Stel dat jij je ooit hebt ingeschreven om mee te doen aan een wedstrijd. Dan kan je eisen dat de wedstrijdorganisatie jouw gegevens na afloop verwijdert. Hieronder valt ook het recht van een persoon om z’n gegevens te laten wissen, wanneer hij zijn toestemming voor het verzamelen van deze gegevens plots intrekt. Ook als hij bezwaar aantekent voor de manier waarop deze gegevens worden verwerkt, heeft hij het recht om vergeten te worden. Bovendien hebben bedrijven zoals Google, in hun rol als “controller”, de extra verantwoordelijkheid om andere organisaties te informeren over het verwijderen van gegevens. Kopieën van de gegevens op andere websites of links naar deze kopieën moeten immers ook worden verwijderd.
4. Het melden van een datalek
Vindt er een datalek plaats, dan is het je plicht als bedrijf om dit binnen 72 uur te melden. Een datalek gaat overigens verder dan gegevens die gehackt worden. Zelfs wanneer een werknemer zijn laptop vergeet op de trein, is er sprake van een lek. Pas deze regel dus toe in de ruimste zin van het woord.
De voordelen van GDPR
De GDPR is een Europese richtlijn die burgers en hun privacy online beschermt. En dat kunnen we bij PSG alleen maar aanmoedigen. Dankzij de GDPR worden bedrijven beperkt in het eindeloos verzamelen van persoonlijke data. Vroeger kon men je naam, e-mailadres, financiële en zelfs medische gegevens zomaar opslaan en verwerken. Ook het IP-adres van je computer, je locatiegegevens en je financiële transacties werden gebruikt als persoonsgegevens waarmee men kon achterhalen wie je bent. GDPR stopt dit. Alle bedrijven in de EU, maar ook niet-EU-bedrijven die Europese persoonsgegevens verwerken, zijn gebonden aan deze wetgeving. Er wordt geen verschil gemaakt tussen grote en kleine bedrijven, en ook niet tussen sectoren. Bovendien hechten klanten er extra waarde aan dat hun gegevens veilig zijn bij jou en ze op jou kunnen vertrouwen. De sleutel tot succes is om GDPR te zien als een winst voor jouw bedrijf. Wie data goed beheert, is de koning van het internet.
Bij PSG staan GDPR en cookies dagelijks op het menu. Heb je hulp nodig? Twijfel niet en Contacteer ons nu.
Auteur
Gunter Vanroy
